Hjem > Cyber ​​Nyheder > Ny CTB-Locker-variant retter sig mod sårbare webservere
CYBER NEWS

Ny CTB-Locker Variant Mål Udsatte Web-servere

Ransomware, ligesom alle andre cyber trussel, er i konstant udvikling og tilføje nye funktioner til sit sæt af kapaciteter. Ransomware affilierede programmer er også en stor faktor, som enhver wannabe-cyberkriminel med grundlæggende færdigheder nu kan deltage og lave nogle (løsesum) penge.

Navn CTB-Locker
Type Ransomware
Kort beskrivelse CTB-Lockers seneste variant er målrettet mod webservere.
Symptomer En del af angrebet er webskifte. Webstedsgrænsefladen erstattes af, hvad der ser ud til at være en løsemiddelmeddelelse med instruktioner.
Distributionsmetode Ganske sandsynligt – udnyttelse af WordPress sårbarheder; tredjeparts WordPress-plugins; spam emails.
Værktøj Detection Hent Malware Removal Tool, for at se, om dit system er blevet påvirket af malware
Brugererfaring Tilmeld dig vores forum at diskutere CTB-Locker.
Data Recovery Tool Windows Data Recovery af Stellar Phoenix Varsel! Dette produkt scanner dine drev sektorer til at gendanne mistede filer, og det kan ikke komme sig 100% af de krypterede filer, men kun få af dem, afhængigt af situationen og uanset om du har omformateret drevet.

Undertiden, det er helt åbenlyst for cyberforskere, at den bestemte ransomware blev lavet af 'begyndere' eller 'amatører'. Og sådanne tilfælde ender normalt med dekrypteringssoftware frigivet og tilgængeligt for ofre til at gendanne deres filer. Men, i andre tilfælde, ransomware varer.

CTB-Locker, eller løg, er et perfekt eksempel på ondsindede kodere, der aldrig giver op og søger nye måder at genopfinde deres ransomware på. I betragtning af dets høje infektionsrater og den generelle destruktivitet, CTB-locker blev endda udnævnt til en af top ransomware familier af 2015. I 2016, CTB-Locker er fortsat en spiller, med en ny variant lige udgivet i naturen.

Hvad er nyt i CTB-Lockers nye variant?

Hovedsagelig, den nyeste variant af den berygtede ransomware er udelukkende målrettet mod webservere. Ifølge forskere ved Kaspersky Lab, mere end 70 servere (muligvis endnu mere) i 10 lande er allerede blevet angrebet med succes. Heldigvis, Kaspersky-forskere var i stand til at gennemføre en detaljeret teknisk analyse, da flere ofre kontaktede dem og sendte dem 'kryptorer'’ der kompromitterede deres webservere.

CTB-Locker Server Edition: Teknisk Genoptag

Den løsesum, der kræves af den nye variant, er ca. $150, eller mindre end en halv bitcoin. Men, hvis løsesummen ikke overføres til tiden, summen fordobles til $300. Når betalingen er afsluttet, dekrypteringsnøglen genereres og kan bruges til at gendanne serverens filer.

Forskere var i stand til at opdage, at infektionsprocessen fandt sted på grund af sikkerhedshuller i ofrenes webservere. Når de pågældende sårbarheder er udnyttet, webstedet er defaced.

Hvad er nedlægning af websted?

Kort, nedlægning af websted er en type angreb, der ændrer webstedets grænseflade. Angribere bryder normalt ind på en webserver og erstatter det hostede websted med deres eget websted (via Wikipedia). Forskere har konkluderet, at de fleste af de seneste fordrejningsangreb ikke er tilfældige, men kan have politiske eller kulturelle motiver.

Hvad angår løsesummeddelelsen, der er faldet af servervarianten af ​​CTB-Locker a.k.a. webstedsversionen af ​​CTB-Locker, det er en detaljeret, der giver nogle interessante fakta:

ransomware-besked-CTB-Locker-stforum-kaspersky-lab

Så synlig, udlægningen af ​​hjemmesiden er selve løsesummen. Den originale kode slettes ikke og gemmes i en krypteret tilstand på webroten. Dets navn ændres også.

Det nøjagtige sikkerhedshul, der starter angrebet på ofrenes webservere, er endnu ikke opdaget. Men, mange af angrebene på serverne har en ting til fælles – WordPress.

Det er ikke en hemmelighed for nogen det WordPress-websteder, der kører forældede versioner af platformen er fulde af sårbarheder. Desuden, WordPress har et andet svagt punkt - plugins. Brug af tredjepart, mistænkelige plugins sætter webservere i fare for forskellige angreb og indtrængen.

Mere om emnet: TeslaCrypt spredning via kompromitterede WordPress-websteder

Når sårbarheden er fundet og udnyttet, og ransomware-operatøren er inde i WordPress, den vigtigste webstedsfil udskiftes, og krypteringsprocessen startes. Derefter, hovedfilen omdøbes, krypteret og gemt. Forskere var i stand til at identificere, at to forskellige AES-256 nøgler bruges i angrebene.

1. create_aes_cipher($keytest) - krypterer de to filer, der kan dekrypteres gratis.
2. create_aes_cipher($KeyPass) - krypterer resten af ​​filerne, der er vært på serverens webrot.

En anden ejendommelig funktion, der findes i serverudgaven af ​​CTB-Locker, er, at ransomware-operatørerne dekrypterer to filer gratis. Men, offeret har ikke mulighed for at vælge filerne til dekryptering. Et chatrum til kommunikation med de ondsindede operatører er også tilgængeligt.

Ransomware fjernelseshåndbog og tip til sikkerhedskopiering af data

For flere tekniske detaljer om angrebet, besøg Kaspersky Lab.

Som med alle sager om ransomware, eksperter sikkerhedsmæssige’ rådgivning tager sikkerhedskopi af alle vigtige data, åbner ikke mistænksom, uventede e-mails, og ikke bruger tredjepartssoftware. Eller i tilfælde af WordPress – plugins.

Hvis du er blevet angrebet af denne bestemte variant af CTB-locker, eller en anden aktuelt aktiv ransomware, du kan følge nedenstående trin artiklen.

1. Boot din pc i fejlsikret tilstand for at isolere og fjerne CTB-Locker

Boot din PC i fejlsikret tilstand

1. For Windows 7, XP og Vista. 2. For Windows 8, 8.1 og 10.

I Windows XP, Vista, 7 systemer:

1. Fjern alle cd'er og dvd'er, og derefter Genstart pc'en fra “Start” menu.
2. Vælg en af ​​de to muligheder, der nedenfor:

For pc'er med et enkelt operativsystem: Tryk “F8” gentagne gange efter den første boot-skærmen dukker op i løbet af genstart af din computer. I tilfælde af Windows-logoet vises på skærmen, du er nødt til at gentage den samme opgave igen.

donload_now_140

For pc'er med flere operativsystemer: Тhe piletasterne vil hjælpe dig med at vælge det operativsystem, du foretrækker at starte i Fejlsikret tilstand. Tryk “F8” lige som beskrevet for et enkelt operativsystem.

donload_now_140

3. Som “Avancerede startindstillinger” vises, vælg Fejlsikret tilstand ønskede indstilling ved hjælp af piletasterne. Som du gøre dit valg, presse “Indtast“.

4. Log på computeren ved hjælp af din administratorkonto

donload_now_140

Mens computeren er i fejlsikret tilstand, ordene “Fejlsikret tilstand” vises i alle fire hjørner af skærmen.

Trin 1: Åbn Start Menu

donload_now_140

Trin 2: Mens holde Shift knap, Klik på Magt og klik derefter på Genstart.
Trin 3: Efter genstart, den aftermentioned menuen vises. Derfra skal du vælge Fejlfinde.

donload_now_140

Trin 4: Du vil se Fejlfinde menu. Fra denne menu kan du vælge Avancerede indstillinger.

donload_now_140

Trin 5: Efter Avancerede indstillinger menu vises, Klik på Startup Indstillinger.

donload_now_140

Trin 6: Klik på Genstart.
donload_now_140

Trin 7: En menu vises ved genstart. Du bør vælge Fejlsikret tilstand ved at trykke på dens tilsvarende nummer og maskinen genstarter.

2. Fjern CTB-Locker med SpyHunter Anti-Malware værktøj

Fjern CTB-Locker med SpyHunter Anti-Malware værktøj

1. Installer SpyHunter at scanne efter og fjerne CTB-Locker.2. Scan med SpyHunter at opdage og fjerne CTB-Locker.
Trin 1:Klik på “Hent” knappen for at gå videre til SpyHunter download side.

donload_now_140
Det anbefales stærkt at køre en scanning, før du køber den fulde version af softwaren for at sikre, at den nuværende version af malware kan påvises ved SpyHunter.

Trin 2: Guide dig selv ved download vejledningen for hver browser.
Trin 3: Når du har installeret SpyHunter, vente på, at automatisk opdatere.

kæledyr-for-MyWay-annoncer-virus

Trin 1: Efter opdateringen er færdig, klik på 'Scan computer nu’ knap.
kæledyr-for-MyWay-annoncer-virus
Trin 2: Efter SpyHunter har færdig med at scanne din pc for enhver CTB-Locker filer, klik på 'Fix Trusler’ for at fjerne dem automatisk og permanent.
kæledyr-for-MyWay-annoncer-virus
Trin 3: Når indtrængen på din pc er blevet fjernet, Det anbefales stærkt at genstarte den.

3. Sikkerhedskopiere dine data for at sikre den mod infektioner og kryptering af CTB-Locker i fremtiden

Sikkerhedskopiere dine data for at sikre den mod angreb i fremtiden

VIGTIGT! Før du læser Windows instruktioner backup, vi anbefaler at sikkerhedskopiere dine data automatisk med cloud backup og forsikre den mod enhver form for tab af data på din enhed, selv de mest alvorlige. Vi anbefaler at læse mere om og downloade SOS Online Backup .

For at sikkerhedskopiere dine filer via Windows og forhindre eventuelle fremtidige indtrængen, følge disse instruktioner:

1. For Windows 7 og tidligere 1. For Windows 8, 8.1 og 10 1. Aktivering af Windows Defense Feature (Tidligere versioner)

1-Klik på Windows Start-menuen
backup-1
2-Type Backup og gendannelse
3-Åben den og klik på Set Up Backup
W7-backup3
4-Et vindue vises som spørger dig, hvor at oprette backup. Du skal have et flashdrev eller en ekstern harddisk. Markere det ved at klikke på det med musen og klik på Næste.
backup-3
5-På det næste vindue, systemet vil spørge dig, hvad vil du sikkerhedskopiere. Vælg "Lad mig vælge ' og klik derefter på Næste.
backup-4
6-Klik på 'Gem indstillinger og køre backup' på det næste vindue for at beskytte dine filer fra mulige angreb fra CTB-Locker.
backup-5

1-Tryk Windows-knap + R
filehistory 1
2-I det vindue typen 'Filehistory' og tryk på Indtast
filehistory 2
3-En File History vindue vises. Klik på 'Konfigurer fil historik indstillinger'
filehistory 3
4-Konfigurationsmenuen for File History vises. Klik på 'Turn On'. Efter dens på, klik på Vælg drev for at vælge backup-drev. Det anbefales at vælge en ekstern harddisk, SSD eller en USB-nøgle, hvis hukommelseskapacitet er svarer til størrelsen på de filer, du ønsker at tage backup.
filehistory 4
5-Vælg det drev og klik på "OK" for at oprette fil backup og beskytte dig mod CTB-Locker.

1- Tryk Windows-knap + R nøgler.
sysdm
2- En køre-vinduer skal vises. I det seværdighed 'Sysdm.cpl’ og klik derefter på Løbe.
vinduer-defense2
3- A System Properties vinduer skal vises. I den vælge System Protection.
vinduer-defense3
5- Klik på Tænd beskytte systemet og vælg størrelsen på harddisken, du ønsker at benytte for at beskytte systemet.
6- Klik på Ok og du bør se en indikation på Beskyttelse indstillinger at beskyttelsen mod CTB-Locker er på.
vinduer-defense1
Gendannelse af en fil via Windows Defense funktion:
1-Højreklik på den krypterede fil, vælg derefter Egenskaber.
fil-restore1
2-Klik på Tidligere versioner fane og derefter markere den sidste version af filen.
fil-restore2
3-Klik på Anvende og Ok og filen krypteret med CTB-Locker skal genoprettes.

4. Gendan filer, der er krypteret af CTB-Locker

Gendan filer, der er krypteret af CTB-locker

Siden PadCrypt 2.0 sletter øjebliksbilleder i Windows, sikkerheds ingeniører kraftigste råde brugere IKKE at betale løsepenge penge og forsøge at gendanne filerne ved hjælp af andre metoder. Her er flere forslag:

Kaspersky har givet en decryptors for filer krypteret med denne og andre krypteringsalgoritmer:

Kaspersky Decryptors

En anstændig metode til at genoprette dine filer er ved at forsøge at bringe dine filer tilbage via data opsving programmel. Her er nogle eksempler på data recovery programmer:

Der er også den tekniske mulighed for at bruge et netværk sniffer:

En anden måde at dekryptere filerne er ved hjælp af en Netværk Sniffer at få krypteringsnøglen, mens filer krypteres på dit system. En Network Sniffer er et program og / eller enhed overvågningsdata, der rejser via et netværk, såsom dets internet-trafik og internet pakker. Hvis du har en sniffer sæt før angrebet skete, du kan få oplysninger om dekrypteringsnøglen.

Valgfri: Brug Alternativ Anti-Malware værktøjer

Fjern CTB-Locker Brug af andre Alternative Værktøj

STOPzilla Anti Malware
1. Hent og installer STOPzilla Anti-malware til Scan efter og Ophæve CTB-Locker.
Trin 1: Hent STOPzilla af at klikke her.
Trin 2: Et pop-up vindue vises. Klik på 'Gem filen’ knap. Hvis den ikke gør det, klik på knappen Download og gem det bagefter.
kæledyr-for-MyWay-annoncer-virus
Trin 3: Når du har downloadet opsætningen, simpelthen åbne den.
Trin 4: Installatøren skal vises. Klik på 'Næste’ knap.
kæledyr-for-MyWay-annoncer-virus
Trin 5: Kontroller 'Jeg accepterer aftalen' tjek cirkel hvis ikke kontrolleres, hvis du accepterer det og klikke på 'Næste' knappen igen.
kæledyr-for-MyWay-annoncer-virus
Trin 6: Gennemgå og klik på 'Installere’ knap.
kæledyr-for-MyWay-annoncer-virus
Trin 7: Efter installationen er færdig klik på 'Slutte’ knap.

2. Scan din pc med STOPzilla Anti Malware at fjerne alle CTB-Locker tilknyttede filer helt.
Trin 1: Start STOPzilla hvis du ikke har lanceret det efter installation.
Trin 2: Vent på software til automatisk at scanne og derefter klikke på 'Reparer nu’ knap. Hvis det ikke scanne automatisk, klik på 'Scan nu’ knap.
kæledyr-for-MyWay-annoncer-virus
Trin 3: Efter fjernelse af alle trusler og tilhørende genstande, du burde Genstart din pc.

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
Jeg er enig